现代密码学第九讲密钥管理二temp课件.ppt

1、1上节主要内容上节主要内容n密钥管理简介密钥管理简介n密钥分配密钥分配n密钥协商密钥协商nPKIPKI及数字证书简介及数字证书简介n秘密共享秘密共享n密钥托管密钥托管2中间人攻击中间人攻击3PKI的作用的作用公钥基础设施（PKI，Public Key Infrastructure）以公钥技术为基础，将个人、组织、设备的标识信息与各自的公钥捆绑在一起，为用户建立起一个安全、可信的网络运行环境，使陌生用户可以在多种应用环境下方便地使用加密和数字签名技术，在互联网上验证用户的身份，从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。4PKI的定义的定义nPKI是生成、管理、存储、分发和

2、吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。5数字证书概述数字证书概述公钥（数字）证书是一种包含了重要信息的载体，它证明了证书所有人和所持有的公钥的真实性，由一个可信的中介机构进行签名，这可以使获得证书的人只要信任这个可信的中介机构，就可以相信他所获得的证书了。6数字证书的内容数字证书的内容n版本号：用来区分X.509的不同版本。n序列号：由CA给予每一个证书的分配惟一的数字型编号。n认证机构标识：颁发该证书的机构惟一的CA的X.500名字。n主体标识：证书持有者的名称。n主体公钥信息：和该主体私钥相对应的公钥。n证书有效期：证书有效时间包括两个日期：证书开始有效期

3、和证书失效期。n密钥/证书用法：描述该主体的公/私密钥对的合法用途。n扩展：说明该证书的附加信息。n认证机构签名：用认证机构的私钥生成的数字签名。7数字证书的安全性数字证书的安全性n证书是公开的，可复制的。n任何具有CA公钥（根证书/CA证书，自签名证书）的用户都可以验证证书有效性。n除了CA以外，任何人都无法伪造、修改证书。证书的安全性依赖于CA的私钥安全。8数字证书的生命周期数字证书的生命周期密钥产生密钥产生证书签发证书签发Bob密钥使用密钥使用Bob证书检验证书检验密钥过期密钥过期密钥更新密钥更新9证书管理证书管理2.（一）证书注册与发布n申请人提交证书请求；nRA对证书请求进行审核；n

4、CA生成证书；n下载并安装证书；n证书发布.10（二）证书的存放n使用IC卡存放n直接存放在磁盘或自己的终端上nUSB Keyn证书库 证书管理证书管理11（三）证书撤销n当条件（雇佣关系结束、证书中信息修改等）要求证书的有效期在证书结束日期之前终止；n或者要求用户与私钥分离时（私钥可能以某种方式泄露），证书被撤销。证书管理证书管理12证书撤销列表发布者名字发布者名字签名算法标识签名算法标识更新时间更新时间被撤销的被撤销的证书的列表证书的列表证书序列号证书序列号撤销时间撤销时间证书序列号证书序列号撤销时间撤销时间：签名签名证书管理证书管理13（四）证书状态查询n定期下载证书撤销列表（CRL）；

5、n在线证书状态协议OCSP（Online Certificate Status Protocol），其目的为了克服基于CRL的撤销方案的局限性，为证书状态查询提供即时的最新响应。OCSP使用证书序列号、CA名称和公开密钥的散列值作为关键字查询目标的证书。证书管理证书管理14（五）证书验证n在证书撤销列表（CRL）中查询确认该证书是否被CA撤销；n检测证书拥有者是否为预期的用户；n检查证书的有效期，确保该证书是否有效；n检查该证书的预期用途是否符合CA在该证书中指定的所有策略限制；n使用CA证书公钥和算法验证终端实体证书签名有效性。证书管理证书管理15（六）证书的更新n下列情况需更新最终实体证书

6、 原证书过期；一些属性的改变；实体要求发放新证书（如密钥可能泄露）CA签名密钥更新证书管理证书管理16PKI主要组件主要组件17（一）注册中心（RA）n注册中心是数字证书注册审批机构。n一般而言，注册中心负责与用户面对面的审核、控制注册、证书传递、其他密钥和证书生命周期管理过程中主体和PKI间的交换。n有的系统中，将RA合并在CA中。PKI主要组件主要组件18RA的功能n主体注册证书的个人认证。n确定主体所提供信息的有效性。n对被请求证书属性确定主体的权利。n认证机构代表主体开始注册过程。n为识别身份的目的分配名字。n在注册初始化和证书获得阶段产生共享秘密。n产生公私钥对。n在需要撤销时报告报

7、告密钥泄露或终止事件。n开始密钥恢复处理。PKI主要组件主要组件19（二）证书授权(CA，Certificate Authority)中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。PKI主要组件主要组件20CA的核心功能n确定是否接受最终用户数字证书的申请（证书审批）。n验证最终用户的公钥是否合法（用户是否知道对应私钥）。n向申请者颁发、拒绝颁发数字证书（证书发放）。n接受、处理最终用户的数字证书更新请

8、求（证书更新）。n接受最终用户数字证书的查询、撤销。n产生和发布证书注销列表（CRL）。n数字证书的归档。n密钥归档。n历史数据归档。PKI主要组件主要组件21CA认证中心组成n签名和加密服务器 对于数字证书和被撤销的数字证书，应有认证机构的数字签名。n密钥管理服务器 与签名加密服务器连接，按配置生成密钥、撤销密钥、恢复密钥和查询密钥。n证书管理服务器 主要完成证书的生成、作废等操作控制。n证书发布和CRL发布服务器 用于将证书信息按一定时间间隔对外发布，为客户提供证书下载和CRL下载等服务。n在线证书状态查询服务器 证书用户随时都知道某个证书的最新状态。nWeb服务器 用于证书发布和有关数据

9、认证系统政策的发布。PKI主要组件主要组件22时间戳服务时间戳服务就是时间戳协议（TSP Time Stamp Protocol）通过时间戳（Time Stamp Authority）的服务来提供数据在特定时间存在的证据。安全时间戳服务用来证明一组数据在某个特定时间是否存在。它可以被用于证明像电子交易或文档签名这样的电子行为的发生时间，如果行为具有法律或资金方面的影响，那么时间戳尤为有用。仅仅是为了支持不可否认的目的，并不需要一个正确的时间，只要是能标记各项动作发生的先后关系即可。但在很多情况下，一个权威的真正正确的时间是非常有用的，所以要求使用官方时间源提供的标准时间。PKI主要组件主要组件

10、23nTSA(Time Stamp Authority)，时间戳权威，是一个可信的第三方时间权威。它是PKI 中的重要组成部分。n不可否认服务需要一个安全时间戳来证明某个事件发生在某个特定时间。例如：Alice用自己的私钥对一张支票签名并把它发送给Bob。现在Alice 想反悔，她故意把私钥四处散发，并通过CA 撤销自己的签名证书，以证明签名的并不是自己。现在要揭穿Alice 是在抵赖，就需要有时间戳来证明她的证书撤销是发生在签名之后。PKI主要组件主要组件24TSA 的工作流程：1.客户端首先计算所选文件的数字指纹，通常是做一次客户端首先计算所选文件的数字指纹，通常是做一次Hash.2.客户

11、端将对文件计算的客户端将对文件计算的 Hash 值发送给值发送给 TSA，TSA 将当前时间值加入数将当前时间值加入数字指纹，然后用私有密钥对这个信息数字签名，并产生一个时间邮戳字指纹，然后用私有密钥对这个信息数字签名，并产生一个时间邮戳(Time stamp)。3.TSA 将时间邮戳返回到客户端存储（客户端需要验证时间邮戳的有效性）。将时间邮戳返回到客户端存储（客户端需要验证时间邮戳的有效性）。这样时间邮戳就跟文件绑在一起作为文件在某个时间内有效的证据。这样时间邮戳就跟文件绑在一起作为文件在某个时间内有效的证据。PKI主要组件主要组件25PKI的问题的问题n不兼容性因为标准不完善、标准表述不

12、清楚、理解错误或实施错误，再加上标准中有些扩展可以自己设定，从而导致了目前PKI产品互操作性差的现状。实际上各个信任域直接互联是有困难的，加上技术和产品不断更新，原来可以互联的PKI产品可能又会不能互联。26秘密共享秘密共享打不开27秘密共享秘密共享对于一个重要的秘密信息(如主密钥)，由单一用户保管危险系数较高:(1)该用户会成为众矢之的，遭受各种攻击,该用户一旦背叛，秘密将完全泄漏.(2)掌握秘密的人出现事故，秘密无法恢复。由若干用户分别保管秘密，每个用户保管秘密的一部分，部分用户被攻击或者背叛不会泄露秘密，更有利于的保密。此外，足够的人一起可以恢复秘密，少量人出现事故，不会导致秘密无法恢复

13、。秘密共享技术（密码学）28秘密共享秘密共享秘密共享技术的基本要求秘密共享技术的基本要求：将秘密s分成n个共享 ，t为一个小于等于n的整数。(1)已知任意t个si值易于算出s。(2)已知任意t-1个或更少个数的si，则由于信息短缺而不能确定出s。nt的具体取值由安全策略确定；n秘密共享算法包含：参数选取、秘密分割、秘密恢复。12,ns ss29秘密共享秘密共享Shamir门限方案门限方案 1979年Shamir基于多项式的拉格朗日插值公式提出了一个(t,n)门限方案（1）参数选取n设秘密是S，参与保管的成员共有n个，要求重构该消息需要至少t个人n选定一个足够大的素数p，pS 大于所有可能的随机

14、输入30秘密共享秘密共享（2）秘密分割n随机地选定t-1个模数 ，得到多项式：n随机选定n个不同的小于p的整数 例如：1,2,3,n 对于每个整数xi分别计算数对(xi,yi),n销毁多项式，并将n个子共享(xi,yi)分别秘密传送给n个成员。12,1,.ts ss111()(mod)tts xSs xsxp()(mod)iiys xp31秘密共享秘密共享（3）秘密恢复假设个人聚集准备恢复秘密S，不妨设他们的数对为 .nt个人计算多项式 n取多项式f(x)的常数项f(0)即为所求秘密S.11(,),.,(,)ttx yx y11()(mod)ttjkkjkjj kxxf xypxx 32秘密共

15、享秘密共享（4）正确性证明正确性证明nt个人构造出来的多项式满足n任意t个对确定唯一的多项式 .通过点 重构t阶的多项式意味着已知t个t元一次方程 记为左边t*t矩阵是非奇异的范德蒙矩阵，故有惟一解。()()iiif xs xy1,2,.,in()()f xs x1111(mod)tkktkySs xsxp1kt1110112122111(mod)1tttttttxxsyysxxpysxx 11(,),.,(,)ttx yx y33秘密共享秘密共享n例例.（3，5）门限方案34秘密共享秘密共享35秘密共享秘密共享秘密36秘密共享秘密共享Asmuth-Bloom门限方案门限方案 1980年,As

16、muth和Bloom基于中国剩余定理提了一个(n,t)门限方案 设秘密是S，参与保管的成员共有n个，要求重构该消息需要至少t个人（1）参数选取n令q是一个大素数，是n个严格递增的数，且满足下列条件：qS.12,.,nm mm(,)1(,)ijm mi j ij(,)1(1,2,)iq min1111ttinjijNmqm 37秘密共享秘密共享（2）秘密分割n随机选取整数A满足 ,公布A和qn计算 ,显然n计算 ,.为一个子共享，将其分别传送给n个用户。0/1AN qySAq(1)/yqAqAqN qqN(mod)iiyym1,in,iim y38秘密共享秘密共享（3）秘密恢复当t个参与者聚集准

17、备恢复秘密S，不妨设他们的子共享为n建立方程组n据中国剩余定理得 ,.n 得秘密S.(,)1,2,jjiimyjt1122(mod)(mod)(mod)kkiiiiiiyymyymyym(mod)yyN1jtijNmNyAq39秘密共享秘密共享（4）正确性证明n由t个成员计算得到的y满足 ，所以 ，即 .n若少于t个参与者参与，则 ，由条件得 .令 ，其中 ,由于 ，至少有q种取值，因此无法确定唯一的y.yNNyySyAq(mod)yyN111|1/tinji IjItNmmN q yyNy0NNN/N Nq40秘密共享秘密共享 例例.设秘密S=4，构建一个（3，5）门限方案.（1）参数选取选

18、取素数q=7，1234517,19,23,29,31mmmmm1234517 19 237429.7 29 316293Nm mmq m m第4个条件也满足。验证模数满足前三个条件；41秘密共享秘密共享42秘密共享秘密共享43目的目的：为了有效控制密码技术的使用，保证对个人没有绝对的隐私和绝对不可跟踪的匿名性。实现手段实现手段：是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。用途用途：提供一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复自己的密钥。密钥托管密钥托管A 数据恢复

19、密钥由所信任的委托人持有，委托人可以是政府机构、法院或有契约的私人组织B一个密钥可能是在数个这样的委托人中分拆44起源起源：美国政府于1993年4月提出Clipper计划和密钥托管加密技术。建议联邦政府和工业界使用新的具有密钥托管功能的联邦加密标准，即托管加密标准EES（Escrowed Encryption Standard），又称Clipper建议。EES标准于1994年2月正式被美国政府公布采用。密钥托管密钥托管美国政府的EES标准公布之后，在社会上引起很大的争议 45密钥托管密码体制组成：密钥托管密码体制组成：用户安全成分USC(user security component)密钥托管

20、成分KEC(key escrow component)数据恢复成分DRC(data recovery component)USC用密钥KS加密明文数据，并且在传送密文时，一起传送一个数据恢复域DRF（data recovery field）。DRC使用包含在DRF中的信息及由KEC提供的信息恢复明文。密钥托管密钥托管46密钥托管密码体制的组成密钥托管密码体制的组成密钥托管密钥托管47（1）用户安全成分USC作用：提供数据加解密能力以及支持密钥托管功能USC可用于通信和数据存储的密钥托管；USC使用的加密算法可以是保密的、专用的,也可以是公钥算法。密钥托管密钥托管48（2）密钥托管成分KEC 作

21、用：存储所有的数据恢复密钥，通过向DRC提供所需的数据和服务以支持DRC。KEC作为密钥管理系统的一部分：单钥管理系统-密钥分配中心；公钥基础设施-公钥证书机构。托管代理机构也为可信赖的第三方，需要在密钥托管中心注册。职责：操作KEC，协调托管代理机构的操作或担当USC或DRC的联系点密钥托管密钥托管49（3）数据恢复成分DRC作用作用：由KEC提供的用于通过密文及DRF中的信息获得明文的算法、协议和仪器。它仅在执行指定的已授权的恢复数据时使用。密钥托管密钥托管50密钥托管密钥托管EES提出以后，密钥托管密码体制受到了普遍关注，已提出了各种类型的密钥托管密码体制，包括软件实现的、硬件实现的、有多个委托人的、防用户欺诈的、防委托人欺诈的等。51本节要点回顾本节要点回顾nPKIPKI及数字证书简介及数字证书简介n秘密共享技术秘密共享技术